Comment faire pour désactiver la saisie semi-automatique pour un HTML champ de mot de passe dans IE11?

IE11 abandonné la prise en charge pour autocomplete=off pour input type=password à la fois la forme et le niveau d'élément.

Personne n'a trouvé une solution pour désactiver la saisie semi-automatique sous IE11?

Avez-vous vérifié ceci? En bref, vous essayez de revenir a ce que IE équipe pense qu'un correctif. ) Ici's une approche possible de la contourner, je suppose, mais c'est tout à fait la douleur royale dans la zone de fond. )
Merci, mais malheureusement, cette solution nécessite l'activation de javascript tandis que le autocomplete="off" serait du pur HTML(5)
juste pour mémoire, liés dans la solution ne fonctionne pas si à l'écoute sur le formulaire de soumission de l'événement, que le temps est trop tard, c'est à dire déjà confirmer le mot de passe de sauvegarde, vous devriez faire le tour de la (soumettre tapé) bouton onclick gestionnaire!
Vous devez signifier une délicate solution de contournement, pas une solution.
Juste si je vous comprends bien, vous voulez ré-activer la saisie semi-automatique pour les mots de passe? De sorte que si l'utilisateur tape le premier caractère, le navigateur crache le reste du mot de passe?

OriginalL'auteur Hofi | 2013-10-07

6

Vous êtes beaucoup mieux de résoudre le problème de la sécurité de l'authentification à deux facteurs. Le piratage à travers le navigateur (a) uniquement dans le court terme (gestionnaires de mots de passe sont de mieux en mieux à la manipulation de ces types d'approches), et (b) conduisent souvent à des problèmes d'accessibilité, qui peut vous coûter beaucoup plus d'utilisateurs que votre peur de la légitime mot de passe de fuite. Si vous travaillez dans une grande entreprise, les utilisateurs de technologies d'assistance qui ont des difficultés avec votre navigateur hacks peuvent déposer une demande en justice. (Je ne parle pas de ce hack en particulier, mais de manière générale, à l'encontre du navigateur fait mal les technologies d'assistance)

L'authentification à deux facteurs, même un peu soignée de mise en œuvre qui demande juste quelque chose comme prénom, puis définit un cookie ("ce navigateur est désormais autorisés à accéder sans 2FA pour un mois"), rend beaucoup plus difficile pour un random hacker pour obtenir un accès non autorisé à un compte, et garde les choses mieux pour les utilisateurs, en particulier ceux qui utilisent des lecteurs d'écran ou d'autres technologies d'assistance.

Désactivation des gestionnaires de mots de passe, d'autre part, tend à entraîner facile à taper des mots de passe plutôt que des mots de passe forts. Utilisation de LastPass ou similaire, je peux avoir un de 24 caractères du mot de passe (et LastPass peut probablement remplir les champs que vous essayez de protéger avec des hacks, pour info) que je n'aurais jamais l'espoir de se souvenir, et un mot de passe différent pour chaque site. Quand j'ai des mots de passe que je me souvienne, ils ont tendance à être deux mots qui s'enchaînent avec un symbole, comme "les Chiens de+de Couteau".

C'est un beau morceau de conseils en dépit de ne pas être un ansert à la question d'origine. Que faire si j'accepte 3 types de mots de passe dans l'application et c'est source de confusion pour les utilisateurs lorsque le navigateur effectue automatiquement un totalement indépendants du champ mot de passe avec leur mot de passe principal?
C'est un problème qui n'a pas vraiment de solution. USAA bancaire fait quelque chose comme ça. Il a un login et un code PIN de la zone. LastPass fonctionne très bien pour la connexion, mais essaie de remplir automatiquement le mot de passe dans le PINfield - même si le domaine a un tout autre nom et USAA met "autocomplete=off". Donc, c'est une longue histoire courte, vous ne pouvez toujours pas vraiment arrêter gestionnaires de mots de passe, qui dans ce cas est très regrettable. Le pin est un merveilleux cas où l'éteindre logique, car c'est un très simple à 6 chiffres de terrain. Je voudrais avoir une meilleure suggestion pour ces cas limites :-/

OriginalL'auteur Nerdmaster
1

Vous pouvez insérer caché en entrée une fois que le nom d'utilisateur.

Comme avec beaucoup d'autres réponses, ce n'est pas faire quelque chose pour éviter externe gestionnaires de mots de passe comme lastpass. Il peut mémoriser juste au sujet de n'importe quel champ, cachés ou non.

OriginalL'auteur Arsen Khachatryan
1

C'est un travail autour de, pas de la meilleure pratique.

IE 11 saisie semi-automatique de tout input type="password". MAIS il ne suffit de remplir le premier. Donc, ce que j'ai fait est-ce
```
<div style="display:none;">
    <input type="text" id="my_username"/>
    <input type="password" id="my_password"/>
</div>              
<asp:Login ID="Login1" runat="server"
    SkinId="LoginDefault" LabelStyle-Font-Bold="true"
    DisplayRememberMe="False"
    DestinationPageUrl="~/CheckPassword.aspx">

    <LoginButtonStyle CssClass="btnEntry" />
    <LabelStyle Font-Bold="True" />
</asp:Login>  
```
Maintenant, si vous remarquez que le premier a un style display:none. Ce qui permet à IE 11 pour la saisie semi-automatique, mais l'utilisateur ne se soucie pas, parce qu'ils ne voient pas que. Je sais que c'est une sorte de hack, mais il fonctionne.

Quel est le point en faisant cela? Il n'a pas d'améliorer la sécurité (le mot de passe est toujours stockées et tout aussi facile à extraire comme avant) et c'est ennuyeux de l'utilisateur légitime. Dans un sens, c'est même dangereux pour la sécurité: L'utilisateur est amené à supposer que le mot de passe n'est pas stocké, mais il ne l'est réellement. Ils pourraient prendre de mauvaises décisions de sécurité.
Encore un utilisateur royaume problème. Utilisez la navigation privée si vous êtes sur un terminal, ou, encore mieux, si c'est un kiosque, vous pouvez configurer que pour eux. Ou est IE11 également l'enregistrement de mots de passe lorsque vous en mode privé?
en essayant de travailler autour d'un comportement du client à l'aide de server-side techniques n'a pas de sécurité constituent. La prochaine version d'IE va désactiver votre solution de contournement, ou Chrome aussi d'ignorer que l'attribut et vous aurez à les essayer et à la pile une autre solution, ou Firefox tout simplement ignorer les champs cachés.Pendant ce temps, vous vous sentirez en sécurité dans la connaissance que vous avez résolu un problème qui n'est pas un problème de votre site web, mais un problème de l'installation du client.
IE n'a pas créer un problème de sécurité. Un simple keylogger installé sur cet ordinateur partagé, va exposer à la même question. Si vous voulez faire de votre site web sécurisé, adopter une authentification à deux facteurs. Ou de la force de chaque utilisateur dispose de son propre compte Windows. En fait, je dirais que puisque c'est une demande de services de santé, le fait que vous êtes en s'appuyant sur le partage de compte Windows est probablement déjà en violation de certains règlements.
Les personnes - dans un environnement d'entreprise comme à l'hôpital, les employés ne sont pas en mesure d'installer des gestionnaires de mots de passe et autres. De même, le personnel informatique peut configurer le navigateur qu'ils utilisent pour désactiver la saisie semi-automatique. Cela dit, la chasse aux sorcières et downvoting est vraiment indigne. Il existe de nombreux cas dans lesquels la désactivation de la saisie semi-automatique est très valable exigence. En fait, dans un établissement de soins de santé, il peut être vu comme un effet direct de la loi fédérale. En affirmant que ce sont les préférences de l'utilisateur et ne doivent donc jamais être abrogée est immature et témoigne d'une mauvaise compréhension de la façon dont la réglementation les impacts de la conception.

OriginalL'auteur DeadlyChambers
1

Vous avez besoin d'avoir des pages différentes pour le nom d'utilisateur et mot de passe.
Cette approche est utilisée par google.

OriginalL'auteur Arsen Khachatryan
0

Je suis un peu en retard, mais le plus propre approche (au moment de la rédaction) semble faire les utilisateurs de soumettre leurs nom d'utilisateur et mot de passe dans les différentes pages, c'est à dire que l'utilisateur entre son nom d'utilisateur, de soumettre, puis saisit son mot de passe et de le soumettre. Le La Banque De L'Amérique et La Banque HSBC des sites web sont de l'utilisation de ce.

Parce que le navigateur n'est pas en mesure d'associer le mot de passe avec un nom d'utilisateur, il n'y aura pas stocker les mots de passe. Cette approche fonctionne dans tous les principaux navigateurs (au moment de la rédaction) et fonctionnent correctement sans utiliser de Javascript. Les inconvénients sont qu'il serait plus gênant pour l'utilisateur, et prendrait 2 publications pour une action login au lieu d'une, donc ça dépend vraiment de comment sécuriser votre site internet se doit d'être.

PS: Firefox suivantes IE11 et d'ignorer autocomplete="off" pour les champs de mot de passe, que par ce 'rapport de bogue' qui est marqué VERIFIED FIXED.

"cela dépend vraiment de comment sécuriser votre site internet se doit d'être" – et l'arrêt des gestionnaires de mots de passe de travail rendra le site moins sécurisé pour tous les utilisateurs qui s'occupent assez.
de sécurité critique des sites web devraient être encourager les bonnes pratiques. Envisager la fixation de votre politique de sécurité, permettant aux gestionnaires de mots de passe (et donc d'encourager plus de mots de passe sécurisés) et 2FA pendant que vous y êtes.
Au final, il devrait être à l'utilisateur si il veut stocker un mot de passe ou pas. Il ne devrait PAS incomber à l'exploitant du site web. Firefox vous demande si pour stocker le mot de passe, il ne le fait pas automatiquement. Donc, c'est la décision d'un utilisateur pour chaque site si pour stocker le mot de passe. J'ai pwgen 24 mots de passe pour la plupart des sites, chacun différemment, et je pense qu'à l'aide du gestionnaire de mot de passe augmente ma sécurité globale au lieu d'utiliser le même mot de passe partout.
Si un attaquant a le plein contrôle de l'utilisateur du système, il est déjà trop tard - la faiblesse des mots de passe font que de plus en plus d'une possibilité.
est correcte sur celui-ci. Le chœur de personnes qui sonne sur les ce ne comprennent pas la loi et qu'ils ne comprennent pas les exigences du gouvernement fédéral. Je construis des soins de santé, les applications utilisées dans les hôpitaux, et il y a grave de la vie privée du patient enjeux liés dans cette, les questions qui puissent non seulement le coût des installations, des centaines de milliers de dollars pour des violations, mais qui les aidants et les patients à risque. Dans un établissement de soins de santé, ne sont pas seulement des utilisateurs convenances imprudent, ils se trouvent à être illégale.

OriginalL'auteur JW Lim

Vous devez vous connecter pour publier un commentaire.